Более 200 000 маршрутизаторов MikroTik заражены майнинговой малварью

Сразу несколько ИБ-специалистов и компаний зафиксировали волну атак, направленную против маршрутизаторов MikroTik по всему миру. Первым на происходящее обратил внимание бразильский исследователь, известный под ником MalwareHunterBR.

Дело в том, что сначала атаки концентрировались на территории Бразилии, но затем распространились и на другие страны, что уже привлекло внимание Trustwave. По данным аналитиков компании, по информации на 1 августа 2018 года неизвестные злоумышленники скомпрометировали более 72 000 роутеров MikroTik в одной только Бразилии. На тот момент подобные атаки практиковала всего одна хакерская группа, так как специалистам удалось выявить только один Coinhive-ключ.

Исследователи пишут, что хакеры эксплуатируют свежую уязвимость, которая была обнаружена в составе компонента Winbox в апреле текущего года. Хотя инженеры MikroTik оперативно устранили этот опасный RCE-баг, владельцы роутеров, к сожалению, по-прежнему не спешат устанавливать обновление на свои устройства. Между тем, для уязвимости уже были опубликованы PoC-эксплоиты (1, 2) и подробные анализы.

После взлома устройства используются для манипуляций с трафиком: роутеры заставляли внедрять во все страницы, всех сайтов майнинговый скрипт Coinhive. Хуже того, по данным экспертов, атаки затронули не только пользователей устройств MikroTik. Дело в том, что некоторые бразильские провайдеры используют уязвимые маршрутизаторы в своих основных сетях, и в результате их компрометации инъекции Coinhive затронули большой процент трафика. Также такие инъекции опасны не только для пользователей напрямую. К примеру, если некий сайт размещается в локальной сети за роутером MikroTik, его трафик так же окажется заражен майнером Coinhive.

Однако злоумышленники быстро поняли, что встраивать майнер буквально повсюду – не слишком хорошая идея, так как подобное поведение привлекает чересчур много внимания. Тогда операторы вредоносной кампании решили ограничиться только страницами ошибок, которые возвращают роутеры. При этом массовость атак не снижается. После того как кампания распространилась за пределы Бразилии, количество зараженных Coinhive роутеров превысило 180 000.

Простое обращение к поисковику Shodan показывает, что в интернете можно обнаружить более 1,7 млн роутеров компании MikroTik, то есть атакующим определенно есть где развернуться.

Журналисты Bleeping Computer сообщают, что по данным известного ИБ-эксперта Троя Марша (Troy Mursch), специалистам удалось выявить второй ключ Coinhive, внедряемый в трафик устройств MikroTik. Вторая вредоносная кампания затронула по меньшей мере 25 000 роутеров, то есть в общей сложности уже были скомпрометированы свыше 200 000 устройств.

"Мария Нефёдова : Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.."

Комментарии (11)

  • А где же подробности? Что создается в планировщике задание, что прописывается скрипт (с этим IP 95.154.216.151), что отключаются все drop-ы в фаерволе...
    Поставил ловушки, попробую вычленить IP с которого идет заражение.

      • В ловушку попался 80.93.119.74 (перебирал пароль к WinBox-у по 8291 порту) - Шодан шепнул, что это Харьков Украина.

    • +
      Включает socks (IP – Socks) на нестандартном порте

    • Почистил руками Скрипт (Files - mikrotik.php), Планировщик (System - Scheduler), Socks (IP - Socks - Enable = no). Накатил последнюю прошивку - встала без проблем.
      Господа, хочу сказать, что данная коллизия, случилась исключительно из-за нашей нерасторопности по установки обновлений закрывающих уязвимости. Поэтому и получается "получите, распишитесь".

  • Вот тебе и микротики.. Когда они стали относительно популярны у простого обывателя, так сразу и уязвимостей куча понаходилась..

    • Ну конечно... криворукие одмины настраивают устройства по статейкам "How To чтоб был интернет!" и при этом оставляют открытым управление из внешнки лол :D, потом их тупо брутят по стандартному логину admin пароль admin, а виноват МикроТик :D

    • Только у получивших недавно популярность среди простых обывателей Микротиков практически пожизненная поддержка с регулярными обновлениями, чего нельзя сказать про Zyxel, ASUS и прочий D-Link.

  • Эта та свирепая сволочь, которая валит микротики, которые на белом ip? У меня на работе кипешь с утра дикий! Много организаций пострадали, в том числе дет. Сады и прочие муниципальные учреждения.
    Микротики, которые на сером ip, этой хрени не подвержены, говорят наши спецы.